web-dev-qa-db-ja.com

ファイアウォールがログインページに送信されている奇妙なGETパラメータを表示していますか?

それで私は今日起きて、いつものように私のウェブサイトのCloudFlare上のファイアウォールイベントをチェックしました。ほとんどの場合、何千回ものSQLインジェクションの試行が失敗しますが、今朝、ランダムな値を持つランダムなGETリクエストをログインページに送信するさまざまなIPからの20,000近くのリクエストすべてが表示されると混乱しました。ここに例を示します。それのように見えました。

attackexample1attackexample2attackexample3attackexample3

20,000からのこれまでの単一のリクエストには、異なる値が設定された異なるGETパラメータがありました。

私の最善の策は、これがDDoS攻撃の失敗であったと思いますが、どう思いますか?


ファイアウォールにファイアウォールを追加することに関心がある場合に、これらのリクエストから使用される最も一般的なASNのリストを以下に示します。

45899, 7713, 9299, 17974, 42298, 7552, 24086, 12849, 23969, 132199, 9770, 8708, 55699, 133481, 27699, 45758, 3215, 9121, 4788, 17552

そして、いくつかのユーザーエージェント(||で区切られています)

Mozilla/5.0 (Windows NT 6.1; rv:5.0) Gecko/20100101 Firefox/5.02 || Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/53.0.2785.116 Safari/537.36 || Mozilla/5.0 (Macintosh; Intel Mac OS X 10_11_6) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/53.0.2785.116 Safari/537.36 || Mozilla/5.0 (Macintosh; Intel Mac OS X 10_13_2) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/63.0.3239.132 Safari/537.36 || Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/53.0.2785.116 Safari/537.36 || Mozilla/5.0 (X11; U; Linux x86_64; de; rv:1.9.2.8) Gecko/20100723 Ubuntu/10.04 (lucid) Firefox/3.6.8 || Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/53.0.2785.116 Safari/537.36 || Mozilla/5.0 (Windows NT 6.0) AppleWebKit/535.1 (KHTML, like Gecko) Chrome/13.0.782.112 Safari/535.1 || Mozilla/5.0 (Windows NT 5.1; rv:13.0) Gecko/20100101 Firefox/13.0.1

そして、リクエストから最も一般的に使用されるIPの一部

14.234.151.201, 113.172.242.246, 89.211.211.191, 113.161.61.186, 36.84.231.11, 213.57.127.146, 110.138.92.187, 116.97.53.203, 27.76.100.72, 36.38.55.91
3
rflxdev

これはほぼ確実にDDoS攻撃ではありません。 1.10.188.0/24ブロックは、タイの住宅IPブロックです。その範囲の多数のIPアドレスがフォーラムスパムとして知られています。ログでIPの1つのレポートを読むことができます ここ

奇妙なパラメータはキャッシュバスターのように見えます。最後にランダムな単語を置くことにより、リクエストを一意にし、古い(キャッシュされた)結果が返されるのを防ぎます。多くのサイトとツールは、さまざまな目的でキャッシュ無効化を使用しています。私の推測では、彼らはインターネットを介してサイトを攻撃し、スパムメッセージを送信できるフォーラムやその他のチャット機能を探しています。

5
Polynomial